Re: Na na na,... - Antwort ;-)

verfasst von Tassie Devil, 25.11.2006, 01:08

-->>Hallo,
>mal zur Klarstellung und Zusammenfassung eine Nachfrage des Laien an den Experten: wenn man einen normalen stationären PC hat (kein Netzwerk von Rechnern, kein Notebook) - inwieweit ist dann ein Hardware-Router notwendig oder sinnvoll?

Hi fridolin,

zunaechst, auch ein mobiles Notebook kann stationaer betrieben werden, das kann auch durchaus Sinn machen, der umgekehrte Fall allerdings weniger...

>Tut es nicht genauso ein auf dem PC laufender Software-Firewall (meinetwegen ZoneAlarm) samt Virenscanner und Spyware-Detektor?

Doch, ja, das tut es im allgemeinen fast genauso auch, falls nicht besondere Umstaende vorliegen.

> Bei diesen Software-Firewalls legt man ja - so wie ich das verstanden habe - fest, ob (1) ein von außen kommender Kontaktversuch auf Port X beantwortet wird und (2) ob das Programm Y auf dem eigenen Rechner nach außen Kontakt aufnehmen darf.

Ja, das ist richtig, eine Firewall ist grundsaetzlich ein einstellbarer beidseitiger Filter.

>Wo liegen da die Vorteile eines Hardware-Routers?

In der Praktikabilitaet der Schutzfunktionen auch im Hinblick auf die Firewall-Funktion vor allem in den Haenden von Computer-Laien und Amateuren.

Eine Software-Firewall greift noch tiefer in das OS ein als ein Virenscanner und/oder ein Spyware-Detektor, und das kann u.U. sogar sehr haeufig zur Folge haben, dass die Maschine ueberhaupt nicht mehr, nicht mehr oder nicht mehr so ganz das tut, was von ihr erwartet wird. Von Systemabstuerzen bis zu leichten Performance-Problemen (starke Rechnerbelastung und/oder Traegheit der Daten-Uebertragung) ist da alles drin, den Problemverursacher Firewall dabei als Taeter auszumachen ist nicht immer ganz einfach. Auch ist die Qualitaet der Software-Firewall, einmal im Hinblick auf deren Funktionalitaet und Handhabbarkeit und zum anderen auf deren Konstruktion und Stabilitaet, auf alle Faelle eine wichtige ins eigene Kalkuel zu ziehende Groesse.

Ein"Hardware"-Firewall in einem rechnerexternen Router hingegen laesst den Rechner in vielerlei Hinblick voellig kalt. Lassen wir mal aus unserer jetzigen Perspektive die beilaeufigen Vorteile eines solchen Routers (Ethernet-LAN, weitere Rechner sofort problemlos mit RJ-45 Stecker fuer Rechner-Rechner-Verbindungen im Intranet-LAN und Zugriff jedes Rechners am LAN ins Internet, wobei es die eingebaute Gateway-Funktion des Routers ist, die als Agent die gesharte Internet-Verbindung zum ISP aufbaut (der ISP sieht nur das Gateway als den einen einzigen zugreifenden"Rechner"), managed und den Verkehr ins und vom Internet fuer die LAN-internen Rechner regelt und auch dabei sorgt, dass es dabei LAN-intern kein Chaos mit den Daten und deren Verteilung gibt) beiseite und konzentrieren uns nur auf die Rundum-Sicherheitsaspekte.

Zunaechst, der Rechner selbst haengt statt an irgendeinem Modem und der Leitung an einem Ethernet-LAN mit TCP/IP, was das Rechner-Risiko im Hinblick auf Probleme jeder Art erheblich absenkt, dies schon ganz allein deshalb, weil diese Anschlussart aufgrund -zig millionenfacher Anwendung ausgetestet sehr stabil ist, auch ist das LAN-TCP/IP incl. der Error-Recovery unproblematisch und einfach handhabbar. Im Gegensatz zum direkten Modem-Anschluss, bei der der Rechner eine Internet-IPA haben muss und hat, erhaelt er bei LAN-Anschluss an den Router eine Class A,B,C,D IPA, die nur im LAN und nicht im Internet gueltig ist, was zur Folge hat, dass aus diesem technischen Umstand der Rechner mit seiner IP niemals direkt aus dem Internet wie auch immer angesprochen werden KANN (insoweit Du kein Adressrouting im Router/Gateway fuer Webserver, FTP-Server und andere Server als Internetanbieter aber auch fuer Messenger-Clients, Filesharing-Clients, Remote-Control-Clients etc. konfiguriert hast), was z.B. auch bei DoS-Attacken (Denial of Service) den Rechner selbst voellig kalt laesst, weil er ueberhaupt nichts davon mitbekommt, dies wiederum im voelligen Gegensatz zum direkten Modem-Anschluss, weil bei dieser Variante der Rechner solchen Attacken direkt ausgesetzt ist und diese selbst abhandeln muss, was zur Folge haben kann, dass er infolge starker Processorbelastung mit seiner Performance in die Knie geht.

Kommen wir nun zum Router mit eingebautem Gateway und Firewall, der als Agent sowohl im Hinblick auf das LAN wie auch als Agent im Hinblick auf das Internet an vorderster Front steht. Zwischen der Router-Funktion und der Gateway-Funktion haengt die Funktion NAT (Network Adress Translation), die die Address-Uebersetzung zwischen dem LAN und dem Internet bewerkstelligt, mit dem oben beschriebenen Effekt. Die Konfigurierung des Routers, seiner Gateway und seiner Firewall erfolgt in aller Regel mittels dem eingebauten Webkonfigurator, der vom Rechner mittels Webbrowser ganz einfach angesprochen wird und seine Konfigurationspanels im Webbrowser anzeigt, die dabei eingestellte Konfiguration wird im Router permanent abgespeichert und aktiviert. Die Firewall laesst LAN-seitig nur das durch (das gilt auch fuer den reinen Intranet-LAN-Betrieb bei mehreren Rechnern), was als zulaessig konfiguriert wurde, das Gleiche gilt ebenso in beiden Richtungen internet-seitig. Die ungewollte Manipulation der sauberen Konfigurierung des Routers ist nur theoretisch moeglich, in der Praxis jedoch unmoeglich, was man bei einem direkten Modemanschluss keinesfalls sagen kann.

Ich moechte uns an dieser Stelle weitere aspekt- und facettenreiche Details ersparen, aber unter Einbezug aller Umstaende, Gegebenheiten und Perspektiven ist es ueberhaupt keine Frage, dass der Einsatz eines solchen Routers mit integrierter Firewall und Gateway vor allem fuer Laien und Amateure, zweifellos aber auch fuer Halb- und Vollprofis teilweise ganz erhebliche Vorteile mit sich bringt.

Wenn Du mit Deiner reinen Softwareloesung bisher keinerlei Probleme hattest, dann ist das ja in Ordnung und es freut mich fuer Dich, dass das so ist, Du musst auch jetzt nicht unbedingt auf einen solchen Router hochruesten, Dein Problem ist halt nur, dass wenn bei Deiner Loesung gewisse Probleme ploetzlich hochkommen, die in Deiner Softwarestruktur mit Modem-Direktanschluss als solcher einerseits und in der Art und Weise des Angriffs andererseits liegen, dann wuerdest Du Dich halt bei der Router-Variante teilweise erheblich leichter tun, das ploetzliche Problem damit entweder ueberhaupt nicht zu haben, oder falls letzteres nicht zutrifft, das Problem zu identifizieren und beheben zu koennen.

Es gilt also auch hierbei der oft zitierte Spruch: hinterher ist man immer klueger.

>Danke und Gruß!

Gruss
TD

Thread gesperrt

 

gesamter Thread:

• Internet vor dem Kollaps. Gebe dem WWW höchstens noch 2 bis 3 Jahre. - sensortimecom, 18.11.2006, 17:51
  • Subjektive Erfahrungen - fridolin, 18.11.2006, 19:19
    • Re: Subjektive Erfahrungen - sensortimecom, 18.11.2006, 19:58
      • Re: Subjektive Erfahrungen - fridolin, 18.11.2006, 21:26
  • Re: Internet vor dem Kollaps. Gebe dem WWW höchstens noch 2 bis 3 Jahre. - TESLA, 18.11.2006, 20:26
    • Alter Rechner mit Windows 98 ist für den äußersten Notfall immer gut;-) - sensortimecom, 19.11.2006, 11:45
  • Verschiedene Lösungsmöglichkeiten - Spartakus, 18.11.2006, 21:01
  • So dramatisch ist die Lage nicht. - Prosciutto, 19.11.2006, 00:13
    • Dem stimme ich uneingeschränkt zu - Spartakus, 19.11.2006, 00:36
  • Gebe dem WWW höchstens noch 2 bis 3 Jahre. Das sieht Bill Gates aber anders:) - prinz_eisenherz, 19.11.2006, 09:29
    • Trotzdem. Totalkollaps nicht aufzuhalten - sensortimecom, 19.11.2006, 11:36
      • OK, etwas tiefer in die Materie rein - Prosciutto, 19.11.2006, 11:51
        • Re: OK, etwas tiefer in die Materie rein - sensortimecom, 19.11.2006, 12:08
      • Re: Trotzdem. Totalkollaps nicht aufzuhalten..auch bei Mobiltelefonen - Eddie09, 19.11.2006, 11:58
      • Kollaps nicht aufzuhalten. Das reden die Menschen schon seit sie sprechen können - prinz_eisenherz, 19.11.2006, 12:43
  • Der wichtigste Link für Windoof-Benutzer - mvd, 19.11.2006, 10:03
    • Der wichtigste Link für Windoof-Benutzer. Stimmt, aber... - prinz_eisenherz, 19.11.2006, 11:32
      • Linux ist Sado-Maso? - Prosciutto, 19.11.2006, 11:59
      • Re: Der wichtigste Link für Windoof-Benutzer. Stimmt, aber... - mvd, 19.11.2006, 12:30
        • Gute Hinweise. Danke für deine Antwort. (o.Text) - prinz_eisenherz, 19.11.2006, 12:47
          • Noch ein wichtiger Link - mvd, 19.11.2006, 13:00
            • Hallo mvd, mir ist die Erbsensuppe aus dem Mund gefallen, vor lachen, aber... - prinz_eisenherz, 19.11.2006, 13:23
              • Recovery - CD --- Vollversion!!! - mvd, 19.11.2006, 14:09
              • Halt, habe ich glatt vergessen.. - prinz_eisenherz, 19.11.2006, 15:08
  • Re: Internet vor dem Kollaps. Gebe dem WWW höchstens noch 2 bis 3 Jahre. - Cujo, 23.11.2006, 21:15
    • Re: Internet vor dem Kollaps. Gebe dem WWW höchstens noch 2 bis 3 Jahre. - sensortimecom, 23.11.2006, 21:54
      • Vielleicht gibt es ja irgendwann ein immunes Betriebssystem..... (o.Text) - Tofir, 23.11.2006, 22:12
        • Das"immune Betriebssystem" ist nach den Sätzen von Gödel und Turing unmöglich (o.Text) - sensortimecom, 23.11.2006, 22:29
      • Re: Internet vor dem Kollaps. Gebe dem WWW höchstens noch 2 bis 3 Jahre. - mvd, 23.11.2006, 22:34
        • Re: Internet vor dem Kollaps. Gebe dem WWW höchstens noch 2 bis 3 Jahre. - zenonvonelea, 23.11.2006, 23:22
          • sygate personal firewall - mond73, 24.11.2006, 10:54
            • Re: sygate personal firewall - zenonvonelea, 24.11.2006, 16:54
        • Re: Na na na,... - Tassie Devil, 24.11.2006, 18:56
          • Re: Na na na,... - Nachfrage:) - fridolin, 24.11.2006, 19:27
            • Re: Na na na,... - Antwort ;-) - Tassie Devil, 25.11.2006, 01:08
      • Re: Internet vor dem Kollaps. Gebe dem WWW höchstens noch 2 bis 3 Jahre. - Cujo, 25.11.2006, 09:44